ČESKÁ TECHNICKÁ NORMA
ICS 35.030 Květen 2018
Informační technologie – Bezpečnostní techniky – |
ČSN 36 9799 |
Information technology – Security techniques –
Information security incident management –
Part 2: Guidelines to plan and prepare for incident response
Technologies de l’information – Techniques de sécurité – Gestion des
incidents de sécurité de l’information –
Partie 2: Lignes directrices pour planifier et préparer une réponse aux
incidents
Tato norma je českou verzí mezinárodní normy ISO/IEC 27035-2:2016. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.
This standard is the Czech version of the International
Standard ISO/IEC 27035-2:2016. It was translated by
the Czech Agency for Standardization. It has the same status as the official
version.
Národní předmluva
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena v ČSN EN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ISO/IEC 27035-1:2016 zavedena v ČSN ISO/IEC 27035-1:2018 (36 9799) Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací – Část 1: Principy řízení incidentů
Souvisící ČSN
ČSN ISO 8601 (97 9738) Datové prvky a formáty výměny – Výměna informací – Zobrazení data a času
ČSN EN ISO/IEC 27001:2014 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
ČSN EN ISO/IEC 27002:2014 (36 9798) Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací
ČSN ISO/IEC 27005 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací
ČSN ISO/IEC 27031 (36 9801) Informační technologie – Bezpečnostní techniky – Směrnice pro připravenost informačních a komunikačních technologií pro kontinuitu činnosti organizace
ČSN ISO/IEC 27033-1 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 1: Přehled a pojmy
ČSN ISO/IEC 27033-2 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 2: Směrnice pro návrh a implementaci bezpečnosti sítě
ČSN ISO/IEC 27033-3 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 3: Referenční síťové scénáře – Hrozby, techniky návrhu a otázky řízení
ČSN ISO/IEC 27033-4 (36 9701) Informační technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 4: Zabezpečení komunikace mezi sítěmi s využitím bezpečnostních bran
Vysvětlivky k textu převzaté normy
Pro účely této normy byly použity následující anglické termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné komunitě a/nebo absenci českého ekvivalentu:
bedin, benchmarking, bootable, botnet, cloud, ethernet, firewall, hacking, helpdesk, malware, phishing, spam, warez
Pro účely této normy byl použit:
– překlad anglického termínu „management“ jako „řízení“ s ohledem na jeho preferované používání v oblasti IT a v návaznosti na vydané normy z oblasti IT, zejména normy řady 27XXX;
– překlad anglického termínu „control“ jako „opatření“, „řízení“ nebo „kontrola“ s ohledem na význam v textu normy;
– v případech, kdy jsou u definice převzaté z odkazovaných norem uvedeny dva termíny (nebo více termínů), je první z nich preferovaně používaný v IT.
Vypracování normy
Zpracovatel: Ing. Alena Hönigová, IČO 61470716
Technická normalizační komise: TNK 20 Informační technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav Škop
Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
Informační technologie –
Bezpečnostní techniky – ISO/IEC 27035-2
Řízení incidentů bezpečnosti informací – První vydání
Část 2: Směrnice pro plánování a přípravu odezvy na incidenty 2016-11-01
ICS 35.030
Obsah
Strana
Předmluva..................................................................................................................................................................................................... 5
Úvod................................................................................................................................................................................................................ 6
1............ Předmět normy............................................................................................................................................................................. 7
2............ Citované dokumenty.................................................................................................................................................................... 7
3............ Termíny, definice a zkrácené termíny...................................................................................................................................... 7
3.1......... Termíny a definice........................................................................................................................................................................ 7
3.2......... Zkrácené termíny.......................................................................................................................................................................... 8
4............ Politika řízení incidentů bezpečnosti informací...................................................................................................................... 8
4.1......... Obecně........................................................................................................................................................................................... 8
4.2......... Zapojené strany............................................................................................................................................................................ 9
4.3......... Obsah politiky řízení incidentů bezpečnosti informací.......................................................................................................... 9
5............ Aktualizace politik bezpečnosti informací............................................................................................................................. 11
5.1......... Obecně......................................................................................................................................................................................... 11
5.2......... Propojování politik...................................................................................................................................................................... 11
6............ Vytváření plánu řízení incidentů bezpečnosti informací..................................................................................................... 11
6.1......... Obecně......................................................................................................................................................................................... 11
6.2......... Plán řízení incidentů bezpečnosti informací založený na konsenzu............................................................................... 12
6.3......... Zapojené strany.......................................................................................................................................................................... 12
6.4......... Obsah plánu řízení incidentů bezpečnosti informací.......................................................................................................... 13
6.5......... Klasifikační stupnice incidentů................................................................................................................................................ 16
6.6......... Formuláře incidentů................................................................................................................................................................... 16
6.7......... Procesy a postupy...................................................................................................................................................................... 16
6.8......... Jistota a důvěra........................................................................................................................................................................... 17
6.9......... Nakládání s důvěrnými nebo citlivými informacemi........................................................................................................... 17
7............ Ustavení týmu pro odezvu na incidenty................................................................................................................................. 17
7.1......... Obecně......................................................................................................................................................................................... 17
7.2......... Typy a role IRT............................................................................................................................................................................ 18
7.3......... Zaměstnanci týmu IRT............................................................................................................................................................... 19
8............ Ustavení vztahů s jinými organizacemi................................................................................................................................. 21
8.1......... Obecně......................................................................................................................................................................................... 21
8.2......... Vztah k jiným úsekům organizace.......................................................................................................................................... 22
8.3......... Vztah k externím zainteresovaným stranám......................................................................................................................... 22
Strana
9............ Definování technické a další podpory.................................................................................................................................... 23
9.1......... Obecně......................................................................................................................................................................................... 23
9.2......... Příklady technické podpory...................................................................................................................................................... 24
9.3......... Příklady další podpory............................................................................................................................................................... 24
10.......... Vytváření povědomí a školení v oblasti incidentů bezpečnosti informací....................................................................... 24
11.......... Definování technické a další podpory.................................................................................................................................... 25
11.1....... Obecně......................................................................................................................................................................................... 25
11.2....... Cvičení.......................................................................................................................................................................................... 26
11.2.1... Definování cíle cvičení.............................................................................................................................................................. 26
11.2.2... Definování předmětu cvičení................................................................................................................................................... 27
11.2.3... Provádění cvičení....................................................................................................................................................................... 27
11.3....... Monitorování schopností reagovat na incidenty................................................................................................................... 27
11.3.1... Provádění programu monitorování schopností reagovat na incidenty............................................................................ 27
11.3.2... Metriky a správa monitorování schopností reagovat na incidenty.................................................................................... 27
12.......... Poučení se z minulosti.............................................................................................................................................................. 28
12.1....... Obecně......................................................................................................................................................................................... 28
12.2....... Identifikování poučení se z minulosti..................................................................................................................................... 28
12.3....... Identifikování a realizace zlepšení implementace opatření bezpečnosti informací..................................................... 29
12.4....... Identifikování a realizace zlepšení v posouzení rizik bezpečnosti informací a výsledcích přezkoumání vedením 29
12.5....... Identifikování a realizace zlepšení plánu řízení incidentů bezpečnosti informací........................................................ 29
12.6....... Hodnocení IRT............................................................................................................................................................................ 30
12.7....... Další zlepšení.............................................................................................................................................................................. 30
Příloha A (informativní) Právní a regulatorní aspekty......................................................................................................................... 31
Příloha B (informativní) Vzorová podávání zpráv o událostech, incidentech a zranitelnostech bezpečnosti informací a příslušné formuláře..................................................................................................................................................................................... 33
Příloha C (informativní) Vzorové přístupy ke kategorizaci a klasifikaci událostí a incidentů bezpečnosti informací............. 44
Bibliografie.................................................................................................................................................................................................. 53
DOKUMENT CHRÁNĚNÝ COPYRIGHTEM |
© ISO/IEC 2016, Published in Switzerland Veškerá práva vyhrazena. Není-li specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně pořizování fotokopií nebo zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení. O písemné svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele. ISO copyright office CH. de Blandonnet 8 · CP 401 CH-1214 Vernier, Geneva, Switzerland Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47 copyright@iso.org www.iso.org |
ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.
Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).
Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy WTO týkající se technických překážek obchodu (TBT), jsou uvedeny na tomto odkazu URL: www.iso.org/iso/foreword.html.
Za tento dokument je odpovědná komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky.
Toto první vydání ISO/IEC 27035-2, společně s ISO/IEC 27035-1, zrušuje a nahrazuje ISO/IEC 27035:2011, které bylo technicky zrevidováno.
ISO/IEC 27035 se společným názvem Informační technologie – Bezpečnostní techniky – Řízení incidentů bezpečnosti informací se sestává z následujících částí:
– Část 1: Principy řízení incidentů
– Část 2: Směrnice pro plánování a přípravu odezvy na incidenty
Další části mohou následovat.
ISO/IEC 27035 je rozšířením řady norem ISO/IEC 27000 a je zaměřena na řízení incidentů bezpečnosti informací, které je identifikováno v ISO/IEC 27000 jako jeden z kritických klíčových faktorů pro systém řízení bezpečnosti informací.
Mezi plánem organizace pro incident a organizací, která ví, že je připravena na incident, může být velký rozdíl. Tato část ISO/IEC 27035 proto řeší vytvoření směrnic, aby zvýšila důvěru ve skutečnou připravenost organizace reagovat na incident bezpečnosti informací. Toho se dosáhne řešením politik a plánů spojených s řízením incidentů a ustavením týmu pro odezvu na incidenty a v průběhu času zlepšením jeho výkonnosti převzetím poučení se z minulosti a hodnocením.
Tato část ISO/IEC 27035 poskytuje směrnice pro plánování a přípravu odezvy na incidenty. Směrnice vycházejí z fází „Plánování a příprava“ a „Poučení se z minulosti“ modelu „Fáze řízení incidentů bezpečnosti informací“ obsaženého v ISO/IEC 27035-1.
Hlavní body fáze „Plánování a příprava“ obsahují:
– politiku řízení incidentů bezpečnosti informací a závazek vrcholového vedení;
– politiky bezpečnosti informací včetně politik týkajících se řízení rizik, aktualizované jak na korporátní úrovni, tak na úrovni systému, služby a sítě;
– plán řízení incidentů bezpečnosti informací;
– ustavení týmu pro odezvu na incidenty (IRT);
– ustavení vztahů a kontaktů s interními a externími organizacemi;
– technickou a jinou podporu (včetně organizační a provozní podpory);
– instruktáže a školení o povědomí řízení incidentů bezpečnosti informací;
– testování plánu řízení incidentů bezpečnosti informací.
Principy uvedené v této části ISO/IEC 27035 jsou obecné a mohou je použít všechny organizace, bez ohledu na typ, velikost nebo povahu. Organizace mohou upravit návod uvedený v této části ISO/IEC 27035 podle jejich typu, velikosti a povahy podnikání ve vztahu ke stavu rizik bezpečnosti informací. Tuto část ISO/IEC 27035 mohou také použít externí organizace poskytující služby řízení incidentů bezpečnosti informací.
Konec náhledu - text dále pokračuje v placené verzi ČSN.
Zdroj: www.cni.cz